[Gelöst] Kein VPN mehr mit Fritzbox 7272 und 6.83 - wie beheben?

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
M

mfd

Neuer User
Mitglied seit
25 Nov 2011
Beiträge
43
Punkte für Reaktionen
2
Punkte
8
Seit einigen Tagen bekomme ich keine VPN-Verbindung vom PC mit Win7x64 (FB Fernzugang -> FB 7272) mehr zustande. Die Konfiguration lief vorher seit einigen Jahren sehr stabil und wurde schon von der FB 7270 auf die 7272 "migriert".
Als DynDNS-Dienst ist spdns eingerichtet und funktioniert (aktuelle IP vorhanden).
Mit dem Update auf 6.83 wurde die Konfiguration (wie auch bei allen vorherigen Updates) soweit erkennbar korrekt übernommen.
Was ich bisher schon versucht habe:
  • 'Fritz Fernzugang' am PC neu installiert
  • Konfigurationsdateien mit 'Fritz Fernzugang einrichten' neu erstellt
  • Konfiguration mit anderem Benutzernamen erstellt
  • FB neu gestartet
  • alles nach AVM-Anleitung nochmal wiederholt

vpn_1.jpg

vpn_2.jpg

avmike.log
Code: 
2017-03-31 08:30:22 avmike: wolke_neighbour_renew_sa 0 SAs
2017-03-31 08:30:22 avmike: wolke_neighbour_renew_sa 0 SAs RENEW 
2017-03-31 08:30:22 avmike: xxx.spdns.org: Phase 2 failed (initiator): timeout, abort.

Irgendwie scheint es bei der Box zu hakeln.
Ich sehe die korrekte IP der Box in der Verbindungsübersicht am PC und ich sehe auch die richtige IP von meinem PC nach dem gescheiterten Verbindungsversuch bei der VPN-Übersicht in der Box.
Also, die beiden sehen sich offenbar, aber wollen irgendwie nicht miteinander :-(

Ich hoffe es gibt noch einen Ausweg...
 
Zuletzt bearbeitet:
Box schon stromlos gemacht? wenn nein, dann durchführen und testen
die Konfig. wurde immer von Box zu Box usw. übernommen, evtl. liegt ein KKK vor
 
Box wurde neu gestartet lt. #1

Vorgehen wie im Link angegeben sieht doch gut aus.

Funktionieren denn andere VPN Verbindungen ? (Myfritz app z.B.)
 
Durch Löschen der VPN Konfiguration und neu hochladen (s.o.) sollte eigentlich ein KKK - zumindest was das VPN anbelangt - ausgeschlossen sein, oder sehe ich das falsch?

Was mir aber völlig unklar ist, wie und ob die neuerdings verfügbare Berechtigung 'VPN' der 'FritzBox Benutzer' etwas mit der VPN-Verbindung PC -> FB zu tun hat.
Leider geht das auch nicht aus der AVM-Anleitung hervor.
Soweit ich erkennen konnte ist es aber lediglich für die Mobile VPN-Einrichtung von Relevanz (iOS, Android).


VPN-Verbindungen mit mobilen Geräten kann ich leider erst wieder einrichten wenn ich direkten Zugriff auf die FB habe.
 
Hmmm

Hast du den ganzen Abschnitt KKK gelesen und auch verstanden?

Mach einen Werksreset und setzt dann alles neu auf wie im Abschnitt PoR
 
stoney0815 schrieb:
Hast du den ganzen Abschnitt KKK gelesen und auch verstanden?
Zum Vergrößern anklicken....

Verstehe, um einen Werksreset werde ich wohl nicht herumkommen, auf die Gefahr hin, einige Stunden für die Neukonfiguration/Rekonfiguration zu opfern ohne einen Schritt weiter zu sein.
Nach einem Hardwarewechsel wäre das noch logisch nachvollziehbar, aber von 6.50 auf 6.83... *seufz*

Edit: Der PoR-Teil mit "losgelöst und frei" hat schon etwas leicht esoterisches... :)
Als Elektronik-Pragmatiker würde ich da sagen Strom weg, warten bis Elkos entladen, gut ist.
 
Zuletzt bearbeitet:
Schau erst einmal in der FRITZ!Box in die Support-Daten (die avmike.log dürfte eher die vom Client sein, in der Box sollte die schon etwas "geschwätziger" ausfallen) und versuche, in der dortigen "avmike.log" etwas zur Ursache zu finden. Wenn da gar kein Verbindungsversuch verzeichnet sein sollte vom Client, dann würde ich am ehesten auf ein Problem mit der (internen) Portweiterleitung tippen (also ein Problem für UDP 500 bzw. 4500 für den IKE). Derartige Probleme mit der Weiterleitung sind ja für die neuen Versionen mit PCP durchaus von mehreren Leuten festgestellt worden und so eine Neueinrichtung mag zwar auch dagegen helfen, aber ich würde vor so einem Berg an Arbeit eher mal versuchen, der Ursache nachzuspüren - zumal ich bei der "Esoterik" so mancher PoR-Anleitung auch immer wieder überrascht werde.

-Es gibt zwar tatsächlich in der Box einen hinterlegten Grund für ein Reboot (aber nur im flüchtigen RAM) und vielleicht im (nicht veröffentlichten) AVM-Teil auch Code, der dann unterschiedliche Pfade nimmt, aber das sollte eben auch nach einem einfachen "Steckerziehen" relativ schnell erledigt sein. Die anderen möglichen Quellen einer "Betriebsspannung" ((aktiver) ISDN-Bus o.ä.) mag man auch noch entfernen ... aber bereits ein angeschlossenes (passives) ISDN-Gerät sollte selbst soviel Energiebedarf am internen S0 haben (wenn da nicht wirklich die Speisung auch abgeschaltet wird, was allerdings nur schwer zu testen ist), daß auch die Stütz-Elkos innerhalb kürzester Zeit leer sind. Die an einigen Stellen zu lesenden 5 bis 10 Minuten "Wartezeit" erscheinen mir auch eher etwas merkwürdig bzw. sind vielleicht dem Alter so mancher Anleitung geschuldet, wo dann RAM noch anders arbeitete und irgendwelche "Restladungen" zu zufälligen Speicherinhalten führten oder zumindest führen konnten.

Heutzutage würde ich eher erwarten, daß entweder der Speicher wirklich selbst mit einem RST-Signal auf einen definierten Zustand gebracht werden kann (beim "ersten Einschalten" bzw. beim "power good" schon durch den Memory-Controller des Prozessors/Chipsatzes) oder das zu ladende Betriebssystem diese Aufgabe übernimmt (im Rahmen des "setup"). Das mag früher anders gewesen sein und vielleicht spielte bei solchen PoR-Anleitungen dann auch die Erfahrung eine Rolle, daß so eine FRITZ!Box eben nur wenige Möglichkeiten bot, ihren eigenen "Energiespeicher" wirklich "leerzusaugen".
 
PeterPawn schrieb:
Schau erst einmal in der FRITZ!Box in die Support-Daten (die avmike.log dürfte eher die vom Client sein, in der Box sollte die schon etwas "geschwätziger" ausfallen) und versuche, in der dortigen "avmike.log" etwas zur Ursache zu finden. Wenn da gar kein Verbindungsversuch verzeichnet sein sollte vom Client, dann würde ich am ehesten auf ein Problem mit der (internen) Portweiterleitung tippen (also ein Problem für UDP 500 bzw. 4500 für den IKE).
Zum Vergrößern anklicken....

Ich kenne keine einfache Lösung um an die Log-Dateien der Box zu kommen, außer das was man über die Oberfläche sehen kann. Dort tauchen die erfolglosen Verbindungsversuche gar nicht auf.

Eine am Mobilgerät (Android) eingerichtete VPN-Verbindung über einen entsprechenden User der Box wird zwar problemlos aufgebaut, aber es fließen keine Daten, Pings auf Netzwerkgeräte laufen ins Leere. Auch der Versuch mit manuell eingetragenem DNS und Routen half leider nicht.
 
(erweiterte) Supportdaten erstellen

(WebIF - Inhalt - FRITZ!Box Support....)
 
Ah, ok, das war mir entgangen, muss ich sofort testen...
...sobald ich Zugriff auf die Box habe. :roll:

- - - Aktualisiert - - -

Die Box spricht bei einem erfolglosen Verbindungsversuch vom Desktop PC aus folgendes:

Code: 
2017-04-03 14:24:33 avmike:mainmode [email protected]: selected lifetime: 3600 sec(no notify)
2017-04-03 14:24:33 avmike:[email protected] remote peer supported XAUTH
2017-04-03 14:24:33 avmike:[email protected] remote peer supported DPD
2017-04-03 14:24:33 avmike:[email protected] remote peer supported NAT-T (draft 06)
2017-04-03 14:24:33 avmike:[email protected] remote peer supported NAT-T RFC 3947
2017-04-03 14:24:34 avmike:mainmode [email protected]: add SA 6
2017-04-03 14:24:34 avmike:[email protected]: embedded inital contact message received
2017-04-03 14:24:34 avmike:mainmode [email protected]: del SA 4
2017-04-03 14:24:34 avmike:[email protected]: Phase 1 ready
2017-04-03 14:24:34 avmike:[email protected]: current=1xx.xxx.xxx.xxx new=1xx.xxx.xxx.xxx
2017-04-03 14:24:34 avmike:[email protected]: start waiting connections
2017-04-03 14:24:34 avmike:[email protected]: NO waiting connections
2017-04-03 14:24:34 avmike:[email protected]: inital contact message received
2017-04-03 14:24:34 avmike:[email protected]: inital contact message ignored
2017-04-03 14:25:04 avmike:mainmode [email protected]: del SA 6
2017-04-03 14:25:04 avmike:mainmode [email protected]: selected lifetime: 3600 sec(no notify)
2017-04-03 14:25:04 avmike:[email protected] remote peer supported XAUTH
2017-04-03 14:25:04 avmike:[email protected] remote peer supported DPD
2017-04-03 14:25:04 avmike:[email protected] remote peer supported NAT-T (draft 06)
2017-04-03 14:25:04 avmike:[email protected] remote peer supported NAT-T RFC 3947
2017-04-03 14:25:04 avmike:mainmode [email protected]: add SA 7
2017-04-03 14:25:04 avmike:[email protected]: Phase 1 ready
2017-04-03 14:25:04 avmike:[email protected]: current=1xx.xxx.xxx.xxx new=1xx.xxx.xxx.xxx
2017-04-03 14:25:04 avmike:[email protected]: sending initial contact message
2017-04-03 14:25:04 avmike:[email protected]: start waiting connections
2017-04-03 14:25:04 avmike:[email protected]: NO waiting connections
2017-04-03 14:25:07 avmike:mainmode [email protected]: del SA 7
 
Doch so viel, ja?

Wie soll man anhand dieses kurzen Auszugs jetzt etwas erkennen können, gar irgendwelche "Regelmäßigkeiten"?

Offenbar kommt der Client bis zur Box durch ... das ist dann aber auch schon alles, was man sieht.

Warum wird da nun die SA Nr. 6 hinzugefügt, während die SA 4 noch vorhanden ist (die wird erst danach gelöscht) und was mit der SA 5 wohl passiert sein mag in der Zwischenzeit?

Maximal kann man noch "raten", daß das Löschen der SA 6 nach 30 Sekunden darauf zurückzuführen sein könnte, daß in diesen 30 Sekunden keine weitere Reaktion von der Gegenseite kommt. Ob das für SA 4 und SA5 ebenso gilt (die 5 gibt es entweder immer noch oder die war schon vor der 4 wieder weg), weil der Client einfach alle 30 Sekunden einen neuen Versuch unternimmt (und dann ältere SAs für denselben Client ohnehin invalidiert werden müssen), dürfte man aber auch noch sehen können, wenn man die vollständigen (und sinnvoll maskierten) Protokolle hat.

Wenn ich (so wie hier) maskierte IP-Adressen sehe, fällt mir nur noch "facepalm" ein ... wollen wir mal nachrechnen, wie groß die Gefahr des "Wiedererkennens" wird, wenn man die ersten zwei Tupel so einer Adresse einfach so läßt, wie sie sind? Das ist auch nicht nur irgendeine Marotte oder übergroße Neugierde meinerseits ... so, wie sich die Nachricht "current=1xx.xxx.xxx.xxx new=1xx.xxx.xxx.xxx" jetzt dankenswerterweise liest, kann man nur noch raten, ob sich diese Adressen nun unterscheiden oder nicht (beides wäre hier denkbar). Wenn man also irgendetwas "maskieren" will, dann bitte so, daß Unterschiede und Gemeinsamkeiten erkennbar bleiben und ich kann hier zwischen den "x" einfach keinen Unterschied feststellen (nicht einmal ein "u" ist dabei).

Außerdem gehören nun einmal zu einer VPN-Verbindung mindestens zwei Partner und man kann es offenbar nicht oft genug betonen, daß zu einer (sinnvollen) Fehlersuche auch die (zeitgleichen) Protokolle beider Seiten gehören (wobei auch beide Seiten eine sekundengenaue und korrekte Uhrzeit verwenden). Wie soll man ansonsten bitte sehen können, ob die Antworten der Box beim Client ankommen oder nicht? Und zwar genau die für diesen "Verbindungsversuch" und nicht für irgendeinen anderen ... deshalb gehört eigentlich auch zu jedem Protokoll noch die passende VPN-Konfigurationsdatei dazu, weil die meisten Leute beim wilden Probieren irgendwelche Einstellungen hin und her ändern, den Überblick verlieren und dann trotzdem darauf beharren, daß sie doch "gar nichts gemacht" haben - häufig ist ihnen das vielleicht gar nicht bewußt. Außerdem erspart es dem Hilfewilligen, sich erst mühsam über mehrere Beiträge zusammenreimen zu müssen, wie die Konfiguration mal aussah und wie sie sich nun im Ergebnis irgendwelcher Tipps verändert haben mag.
 
Die "current" und "new" IP ist identisch und stimmt mit der meines PCs überein. Maskiert deshalb, weil es sich um eine echte/feste IP-Adresse handelt.
Wird die VPN-Konfiguration neu angelegt, so ist "current" zunächst 0.0.0.0 und entspricht ab dem ersten Verbindungsversuch der IP meines PCs.

Der Ausschnitt entspricht exakt dem Teil, der einen Verbindungsversuch zugeordnet werden kann. Ich kann aber versuchen das für beide Kommunikationspartner korrespondierende Log hier zu posten, wenn das mehr Aufschluss zum Problem gibt.
 
mfd schrieb:
Der Ausschnitt entspricht exakt dem Teil, der einen Verbindungsversuch zugeordnet werden kann.
Zum Vergrößern anklicken....
Da sind aber mindestens zwei "Verbindungsversuche" im Protokoll zu sehen ... ich kann mir vieles vorstellen, aber nicht, daß der AVM-Client exakt zwei solcher "Verbindungsversuche" startet, wenn man ihn einmal zum Herstellen der Verbindung auffordert und nach dem zweiten dann direkt aufgibt.

Entweder der Client probiert es mehrfach (und dann vermutlich(!) auch mehr als zweimal) und bringt dann eine entsprechende Fehlernachricht oder genau einmal - einen Versuch mit einer einzigen Wiederholung kann ich mir beim besten Willen nicht erklären (was allerdings noch lange nichts heißen muß).

Nach dem Bild in #1 dauert es ja auch exakt 35 Sekunden, bis der Client sein Versagen eingesteht. Warum sollte der nun für eine einzelne Aufforderung zum Verbinden so eine "krumme" Zeit als Timeout verwenden? Bei 35 Sekunden und zwei Versuchen lt. Deinen Auszug aus der Box (die ja dann sicherlich auch beide in ein Timeout laufen müssen, bevor der Abbruch kommt), wären das ~17 Sekunden Timeout für einen einzelnen Versuch und das klingt zumindest sehr komisch. Auch sieht der Auszug aus der Box eher danach aus, daß der Client da ein Timeout von 30 Sekunden verwendet, denn der zweite Verbindungsversuch kommt um 14:25:04 und das ist ziemlich exakt 30 Sekunden nach dem Zeitpunkt, wo der Server (die Box) ihrerseits P1 für "progressing" hält und auf weitere Pakete vom Client wartet. Die kommen aber wohl nicht an, weil die Antwort der Box den Client gar nicht erreicht.

Sollte ich mich da tatsächlich in einem so schweren Irrtum hinsichtlich des Verhaltens des AVM-Clients befinden, lasse ich mich gerne mit einem Mitschnitt der Kommunikation auf dem PC eines Besseren belehren, wo der Client zwei Versuche im Abstand von 17 Sekunden startet. Aber dann stellt sich halt wieder die Frage, was denn mit den SAs 1-5 nun genau passiert ist und welche VPN-Verbindung diese Indizes "benutzt" haben soll, wenn es nicht die vom getesteten Client war.

Meine Bemerkung bzgl. des Protokolls galt ohnehin auch für die "Client-Seite" ... ich mag auch nicht glauben, daß sich das Protokoll des Clients auf die drei Zeilen in #1 beschränkt. Da wird für P2 ein Timeout protokolliert und alle drei Zeilen aus derselben Sekunde enthalten gar keine Informationen zur (zwangsweise davor liegenden oder ich halte mich lieber raus, weil ich dann doch nicht weiß, wovon ich schreibe) "Phase1" des IKE.

Wenn ich mir andererseits den Rest des Textes in #1 so durchlese, solltest Du vielleicht erst noch einmal den verwendeten PC überprüfen und mit dem meinetwegen eine Verbindung zu irgendeiner anderen Box aufbauen. So, wie sich das liest, hast Du FRITZ!Fernzugang auf dem PC neu installiert nach mehreren Jahren und mit ein wenig Pech ist da nur die Firewall oder irgendeine ggf. verwendete AV-Suite jetzt eingeschnappt. Das wäre jedenfalls die Stelle in einer Windows-Installation, wo ich zuerst suchen würde, wenn irgendwelche Pakete nicht auf dem Windows-Rechner ankommen, wie es hier (nach den bisher verfügbaren Informationen) wohl der Fall ist.

Nun habe ich allerdings auch keine 7272 ... aber für die 7490 mit der 06.83 kann ich festhalten, daß VPN-Verbindungen prinzipiell funktionieren (aber auch wieder nicht, ob das mit FRITZ!Fernzugang klappt, denn mich könnte man nicht mit Geld und guten Worten dazu bringen, das als VPN-Client zu verwenden - das liegt aber nur an der Art, wie das sich ins System einbringt).

Wenn Du tatsächlich schon mit einem Android-Gerät (was vorher hoffentlich auch nachweislich funktionierte?) Probleme hast (wobei da ja der Verbindungsaufbau wohl klappen soll?), dann könnte es eventuell ja wirklich am neuen FRITZ!OS (dann aber bei der 7272 und nicht generell) liegen. Ich bin da trotzdem immer erst einmal skeptisch, wenn mir jemand solche Erkenntnisse "unterjubeln" will ("Irgendwie scheint es bei der Box zu hakeln.") und das nicht mit ausreichenden Informationen unterlegt ist.
 
Zuletzt bearbeitet:
Ok, hier nochmal beide Logdateien für einen Verbindungsversuch. Eine exakte Übereinstimmung der Zeit kann ich nicht garantieren, da ich keinen gemeinsamen Zeitserver für beide Geräte habe.

Fritz Fernzugang Client avmike.log:
Code: 
2017-04-04 08:31:42 avmike: certsrv_register now ...
2017-04-04 08:31:42 avmike: certsrv_register OK !!!
2017-04-04 08:34:54 avmike: wolke_neighbour_renew_sa 0 SAs
2017-04-04 08:34:54 avmike: wolke_neighbour_renew_sa 0 SAs RENEW 
2017-04-04 08:34:54 avmike: meineadresse.spdns.org: Phase 2 failed (initiator): timeout, abort.

Box, hier habe ich alles ab 04.04. mit dazugenommen, anscheinend haben da auch "Böse Buben" angeklopft...
Code: 
2017-04-04 03:13:55 avmike:216.218.206.126:62153: new_neighbour_template failed
2017-04-04 03:16:02 avmike:< add(appl=dsld,cname=vpn,localip=87.171.217.35, remoteip=0.0.0.0, p1ss=LT8h/all/all/all, p2ss=LT8h/esp-all-all/ah-none/comp-all/no-pfs p1mode=4 keepalive_ip=0.0.0.0 flags=0x803f tunnel xauth cfgmode nat_t no_certsrv_server_auth)
2017-04-04 03:16:02 avmike:new neighbour vpn:  dynamic  user  every-id  nat_t
2017-04-04 03:16:02 avmike:< add(appl=dsld,[email protected],localip=87.171.217.35, remoteip=0.0.0.0, p1ss=all/all/all, p2ss=esp-all-all/ah-none/comp-all/pfs p1mode=4 keepalive_ip=0.0.0.0 flags=0x8027 tunnel no_xauth no_cfgmode nat_t no_certsrv_server_auth)
2017-04-04 03:16:02 avmike:new neighbour [email protected]:  dynamic  user  every-id  nat_t
2017-04-04 04:27:32 avmike:216.218.206.106:25641: new_neighbour_template failed
2017-04-04 06:19:34 avmike:66.240.236.119:4500: new_neighbour_template failed
2017-04-04 08:34:23 avmike:mainmode [email protected]: selected lifetime: 3600 sec(no notify)
2017-04-04 08:34:23 avmike:[email protected] remote peer supported XAUTH
2017-04-04 08:34:23 avmike:[email protected] remote peer supported DPD
2017-04-04 08:34:23 avmike:[email protected] remote peer supported NAT-T (draft 06)
2017-04-04 08:34:23 avmike:[email protected] remote peer supported NAT-T RFC 3947
2017-04-04 08:34:23 avmike:mainmode [email protected]: add SA 1
2017-04-04 08:34:23 avmike:[email protected]: Warning: source changed from 0.0.0.0:500 to 1my.fix.ip.adr:500
2017-04-04 08:34:23 avmike:[email protected]: embedded inital contact message received
2017-04-04 08:34:23 avmike:[email protected]: Phase 1 ready
2017-04-04 08:34:23 avmike:[email protected]: current=0.0.0.0 new=1my.fix.ip.adr
2017-04-04 08:34:23 avmike:[email protected]: no valid sa, reseting initialcontactdone flag
2017-04-04 08:34:23 avmike:> user_changed([email protected],ipaddr=1my.fix.ip.adr)
2017-04-04 08:34:23 avmike:[email protected]: start waiting connections
2017-04-04 08:34:23 avmike:[email protected]: NO waiting connections
2017-04-04 08:34:23 avmike:[email protected]: inital contact message received
2017-04-04 08:34:53 avmike:mainmode [email protected]: del SA 1
2017-04-04 08:34:53 avmike:mainmode [email protected]: selected lifetime: 3600 sec(no notify)
2017-04-04 08:34:53 avmike:[email protected] remote peer supported XAUTH
2017-04-04 08:34:53 avmike:[email protected] remote peer supported DPD
2017-04-04 08:34:53 avmike:[email protected] remote peer supported NAT-T (draft 06)
2017-04-04 08:34:53 avmike:[email protected] remote peer supported NAT-T RFC 3947
2017-04-04 08:34:54 avmike:mainmode [email protected]: add SA 2
2017-04-04 08:34:54 avmike:[email protected]: Phase 1 ready
2017-04-04 08:34:54 avmike:[email protected]: current=1my.fix.ip.adr new=1my.fix.ip.adr
2017-04-04 08:34:54 avmike:[email protected]: sending initial contact message
2017-04-04 08:34:54 avmike:[email protected]: start waiting connections
2017-04-04 08:34:54 avmike:[email protected]: NO waiting connections
2017-04-04 08:34:57 avmike:mainmode [email protected]: del SA 2
 
Das Ergebnis ist noch genau dasselbe ... ein erstes Paket kommt an vom Client, die Box startet ihrerseits die Vorbereitungen für den IKE (das zu lesende "mainmode" taucht m.W. auch dann im Protokoll auf, wenn das in Wirklichkeit "aggressive mode" ist) und antwortet mit einiger Wahrscheinlichkeit auch entsprechend, aber danach kommt offenbar nichts mehr vom Client. Wenn der seinerseits schreibt "Phase 2 failed", sollte man vermutlich unterstellen, daß er Phase 1 für beendet hält ... wie er angesichts der Protokollierung in der Box auf diese Idee kommt, kann ich nicht nachvollziehen.

Eine (auf beiden Seiten) abgeschlossene Phase 1 hätte dann eigentlich nach einer entsprechenden Anzahl von Paketen (7 beim "main mode" und 4 beim "aggressive mode") eine eingerichtete SA für Phase 2 zur Folge (dieser Zustand wird häufig mit "QM_IDLE" bezeichnet in der Diskussion, kommt m.W. aus der Cisco-Ecke und ist der Zustand nach erfolgreichem Einrichten der SA für P2, egal in welchem Modus P1 erfolgte) - das würde ich hier für die FRITZ!Box verneinen, weil (nach meiner Ansicht) diese "Phase X ready"-Nachricht nicht den Abschluß der jeweiligen Phase dokumentiert, sondern ihren Beginn und dieses "Phase 2 ready" fehlt auf der FRITZ!Box-Seite. Das mit dem "Beginn" der Phase leite ich daraus ab, daß da im Anschluß normalerweise Zeilen in dieser Form im Protokoll auftauchen:
Code: 
avmike:< cb_sa_created(name=<connection>,id=99,...,flags=0x00002003)
und wenn man das als "callback for SA created" interpretiert, werden diese SA eben erst dann eingerichtet, wenn "Phase 2 ready" bereits "durch" ist, was m.E. dafür spricht (an asynchrone Callbacks mit entsprechender Verzögerung glaube ich an dieser Stelle nicht wirklich), daß P2 eben da erst beginnt. Das korreliert auch ganz gut mit dem, was ich bei früheren Mitschnitten selbst erlebt habe (auch wenn das ältere Versionen waren), wenn mal eine solche Verbindung nicht richtig aufgebaut wurde.

Wobei das tatsächlich für mich hier auch absolut merkwürdig aussieht beim Timing und eher wie zwei unabhängig ablaufende Prozesse (auf dem Client). Der erste Versuch richtet eine SA ein (die 1, für ISAKMP) und wartet dann auf weitere Kommunikation ... nach 30 Sekunden wird diese SA 1 dann wieder entsorgt. Das geschieht aber nach meiner Interpretation nicht aus eigenem Antrieb, sondern weil ein weiterer Verbindungsversuch eintrifft (für den dann SA 2 eingerichtet wird, aber immer noch für ISAKMP) und der invalidiert dann (vermutlich, ist halt "confidential" bei AVM) die SA 1. Bei einer Verbindung vom Type "conntype_user" dürfte jedenfalls die Box nicht ihrerseits den zweiten Versuch starten, weil sie irgendwie "ungeduldig" wird, daß es nicht vorwärts geht.

Man sieht es auch an der "remoteip" im Protokoll (beim "add"). Wenn die beim Hinzufügen "0.0.0.0" ist, verhält sich die Box (nach allem, was ich bisher gesehen habe) rein passiv und arbeitet nur als Responder, bei einer konkreten IP-Adresse ist das dann das Ergebnis einer "remoteip"-Zeile in der Konfiguration und bei "255.255.255.255" wird die IP-Adresse (regelmäßig) durch DNS-Abfragen ermittelt und damit auch der Wechsel der IP-Adresse bei einem DynDNS-Namen realisiert und entsprechend behandelt.

Also wird auch der zweite Versuch wohl vom Client kommen. Warum der nun aber bereits nach drei Sekunden wieder abgebrochen wird (die SA 2 lebt ja nur diese drei Sekunden), kann man ja fast nur noch damit erklären, daß da die Gegenseite ihrerseits "Reset" macht, z.B. mit einem letzten "delete payload" (s. RFC), obwohl das in der Regel beim nächsten Versuch mit einem "initial contact" ohnehin gemacht wird, was dann alle bisherigen SA auch abräumt, damit beide Seiten "sauber" starten können - z.B. nach einem Crash auf einer Seite, wo es dann ohnehin keine alten SAs mehr gibt.

Warum der Client dann überhaupt noch den zweiten Versuch startet, ist (mir zumindest) eher unklar und vielleicht am ehesten mit zwei unabhängigen Prozessen (oder Threads) erklärt. Der eine startet den Verbindungsversuch und wartet seine 30 Sekunden (+- eine oder zwei) und ein anderer sendet die IKE-Messages und wiederholt seinerseits den Versuch des Schlüsselaustauschs nach einer Timeout-Spanne. Der zweite Thread hat dann gerade einen neuen Versuch gestartet, wenn der erste sich dazu entschließt, nun die Verbindung doch lieber wieder zu deaktivieren und daraufhin wird der IKE dann abgebrochen und irgendwie die Gegenseite noch darüber informiert.

Anders als bei der Verwendung von dynamischen IP-Adressen wäre es hier ja tatsächlich denkbar, daß ein Client mit einer statischen (IPv4-)Adresse auch wirklich den "main mode" beim IKE verwendet ... keine Ahnung, ob und wann das vom AVM-Programm "FRITZ!Fernzugang konfigurieren" auch unterstützt wird und erst recht habe ich keine Idee, wie das hier konfiguriert wurde - die Konfigurationsdateien sind ja offensichtlich (jedenfalls schließe ich das aus ihrem Fehlen trotz meiner expliziten Nachfrage) geheim.

Ich würde immer noch auf dem Client prüfen, ob die Antwort ankommt und ggf. auch, wieviele Pakete (wenn man sich auskennt, kann man sogar den Inhalt noch untersuchen) im IKE nun überhaupt ausgetauscht werden (die Anzahl der Pakete gibt indirekt auch wieder einen Hinweis, ob das nun "aggressive mode" oder "main mode" sein soll). Kommt die Antwort nicht an, wird sie wohl irgendwo unterwegs blockiert oder es ist eben doch eine Firewall auf dem Zielgerät (das muß ja nicht die Windows-eigene sein, auch die Reaktion/Antwort auf meine (zugegebenermaßen nicht explizit gestellte) "Frage" in dieser Richtung habe ich nicht gefunden).

Das wird sich hier ausschließlich anhand des VPN-Logs der Box aber nicht diagnostizieren lassen (das Log des Clients kann man ja in der Pfeife rauchen und der oben erwähnte Widerspruch in den Zuständen auf beiden Seiten irritiert mich ohnehin - vielleicht bietet ja auch der Client die Möglichkeit, da etwas mehr als diese eine Zeile mit dem Timeout zu erzeugen im Protokoll, aber das weiß ich nicht) und so kann man anhand der hier zu sehenden Protokolle (m.E.) nur konstatieren, daß dort eben Pakete vom Client bei der Box ankommen. Welche das genau sind, kann man ja durchaus auch in einem Mitschnitt auf der Box selbst ermitteln (1. Internetverbindung) und dann kann man auch wieder (selbst ohne genauere Kenntnisse über die Abläufe beim IKE) die Mitschnitte auf beiden Seiten vergleichen, ob gesendete Pakete tatsächlich beim Empfänger eintreffen.

Machen sie das und kommen sie trotzdem nicht in der jeweiligen Anwendung an (auch die Windows-Anwendung "FRITZ!Fernzugang" dürfte den IKE selbst durchführen und nicht nur "Anweisungen" an irgendwelche Netzwerk-Schichten senden - der AVM-Treiber ist ja als Netzwerk-Filter implementiert ... damit würde ich erwarten, daß die Anwendung in der Firewall-Konfiguration explizit "erwähnt" wird und nicht bei den Windows-Services unter dem Radar fliegt), dann ist es wohl eine Firewall, die da etwas blockiert.

Ist es definitiv keine Blockade irgendwelcher Pakete, würde ich trotzdem noch einmal mit einem anderen VPN-Client (Shrewsoft drängt sich hier für einen PC förmlich auf und der kann dann (das weiß ich nun wieder) auch seinerseits ordentlich protokollieren, was da im Netzwerk so passiert beim Schlüsselaustausch) überprüfen, ob es tatsächlich an der FRITZ!Box liegt.

Kriegt ein Android-Gerät mit einem "VPN-Konto" per GUI eine Verbindung auf die Reihe (egal, ob da jetzt irgendwelche Pings funktionieren oder nicht, P2 sollte aber definitiv abgeschlossen sein oder zumindest stattfinden und das sieht man dann auch im "ike.log" der Box an der oben erwähnten Protokollierung von "cb_sa_create"), käme ich jetzt nicht als erstes auf die Idee, das Problem auf der Box zu verorten und würde eher auf dem PC weitersuchen.

Wobei ich noch nicht so richtig oder "definitiv und eindeutig" verstanden (bzw. gelesen) habe, welche der mit "FRITZ!Fernzugang konfigurieren" erzeugten Dateien nun wo importiert wurde ... dem Augenschein nach würde ich die Verbindung mit der Mail-Adresse im Namen für importiert halten und da steht zumindest mit "p1mode=4" dann auch ein "mode = phase1_mode_aggressive;" in der Konfiguration - man kann also "schlußfolgern", daß die Datei importiert wurde (im GUI werden die neuen Proposal-Sets mit 8 Stunden Life-Time verwendet) und der "aggressive mode" verwendet wird (zumindest erwartet das die Box dann so, aber die parallel erzeugte Datei für den Client (die sicherlich auch da importiert wurde) sollte ja da keinen Unterschied aufweisen).

Die entscheidende Frage ist es hier halt, ob die beiden "Partner" sich nicht erreichen (zumindest in der Richtung FRITZ!Box -> PC, die andere scheint zu funktionieren, wie man im "ike.log" der Box sieht) oder ob sie sich in Phase 1 nicht einigen können (das gibt normalerweise aber entsprechende Fehlercodes) oder ob sie sich (wegen unterschiedlicher Einstellungen für P1) nicht verstehen und der PC daher die Antwort der FRITZ!Box zwar erhält, sie aber falsch versteht oder gar nicht interpretieren/entschlüsseln kann (was er aber dann auch wieder "vergißt" zu protokollieren und insofern halte ich es immer noch für wahrscheinlicher, daß diese Antworten ihn gar nicht erst erreichen).

Nächster Schritt wäre für mich der Paketmitschnitt auf beiden Seiten oder eine Gegenprobe mit anderem Client bei gleichzeitiger Prüfung des Protokolls in der FRITZ!Box - erst einmal die wahrscheinliche Quelle des Fehlers weiter eingrenzen.

Das war auch der letzte so lange Beitrag meinerseits in diesem Thread ... es war der Versuch, mögliche Punkte zum Testen zu zeigen und ein paar "Schlußfolgerungen" meinerseits zu begründen. Gibt es hier weiteres "Material" zu sehen, wo man mal einen Blick hineinwerfen kann, wird es trotzdem nur noch "buzzwords" von mir geben, solange ich nicht irgendeine - auf den ersten Blick vollkommen abwegige - Vermutung begründen muß.

Ob die bisher von mir geäußerten Vermutungen (z.B. bzgl. des "Auftauchens" des AVM-Programms in der Regelliste der (Windows-)Firewall) stimmen, sollte man ggf. auch selbst prüfen ... deshalb habe ich jeweils dazu geschrieben (jedenfalls habe ich es versucht), was ich meinerseits für ausreichend belegt halte auf der Basis eigener (i.d.R. allerdings früherer) Versuche und anderer - auch hier im IPPF - erfolgreich gelöster Probleme und wo ich das nicht gut genug kenne. Wobei auch diese Erfahrungen/Vermutungen definitiv nicht für die (neue) 06.83 bei der 7272 gelten müssen - und da fällt mir dann auch noch die Frage ein, ob diese 7272 regelmäßige Updates gekriegt hat (dann ist der "irgendwo in der Gegend der 06.20" vollzogene Wechsel (iirc) bei den "proposal sets" nichts Neues - auch wenn das passende Fehlermeldungen erzeugen sollte, wenn es da keine Überschneidungen gibt) oder ob das ein größerer Sprung war und zuvor eine Version <= 06.20 installiert war.
 
Ein paar neue Erkentnisse, aber wenig hilfreich:

  • anderer PC, gleiches Netz mit Win 10 statt Win 7 und Fritz Fernzugang (auf diesem PC war vorher noch nie eine VPN-Software installiert) -> selbes Ergebnis, Verbindung kommt nicht zustande.
  • Fritzbox auf Werkseinstellungen und Konfiguration per Hand neu eingepflegt -> kein Unterschied
  • ursprünglicher PC mit Shrew VPN Client (FB Fernzugang deinstalliert) und Konfiguration lt. AVM -> keine Verbindung (session terminated by gateway)
und,
über WLAN aus dem gleichen Netzwerk heraus (anderes Subnetz):
  • mit Android Mogilgerät -> Verbindung wird aufgebaut, zumindest behauptet das Android, keine Daten
  • mit ursprünglichem PC und Shrew VPN Client -> Verbindung wird aufgebaut, zumindest behauptet das Shrew VPN, keine Daten

Der nächste Test wird jetzt sein, aus einem völlig anderen Netzwerk heraus die Verbindung mit den verschiedenen Geräten/Clients zu testen...
 
Ein letztes Mal von mir der Hinweis, daß auch ein (kundiger) Blick in die Konfiguration helfen kann.

Ich weiß nicht mehr, wie "FRITZ!Fernzugang konfigurieren" nun genau arbeitete (und werde es nur für diese Frage auch definitiv nicht selbst installieren), aber gerade beim "Mischen" verschiedener Konfigurationswege kann es eben schnell mal Späne geben. Jeder Client kriegt für eine VPN-Verbindung vom Typ "conntype_user" eine IP-Adresse aus dem LAN der FRITZ!Box zugewiesen ... bei der Konfiguration über das GUI (und Standardeinstellungen beim DHCP-Server der FRITZ!Box, auch wenn dieser ggf. ausgeschaltet wird) starten diese Adressen bei der ".200".

Wenn man das bei "FRITZ!Fernzugang konfigurieren" explizit vorgeben muß (bzw. kann) und es nicht die ".200" ist, die da verwendet wird, dann wäre alles gut ... ansonsten passen die beschriebenen Symptome auch problemlos zu einer Konfiguration, wo es mehr als einen Client mit der ".200" in den VPN-Einstellungen gibt.

Und damit bin ich hier dann auch raus ... viel Erfolg.
 
Die verwendete Konfigurationsdatei wie folgt
Shrew VPN
Code: 
n:version:4
n:network-ike-port:500
n:network-mtu-size:1380
n:client-addr-auto:1
n:network-natt-port:4500
n:network-natt-rate:15
n:network-frag-size:540
n:network-dpd-enable:1
n:client-banner-enable:1
n:network-notify-enable:1
n:client-dns-used:0
n:client-dns-auto:1
n:client-dns-suffix-auto:1
n:client-splitdns-used:1
n:client-splitdns-auto:1
n:client-wins-used:0
n:client-wins-auto:1
n:phase1-dhgroup:2
n:phase1-life-secs:86400
n:phase1-life-kbytes:0
n:vendor-chkpt-enable:0
n:phase2-life-secs:3600
n:phase2-life-kbytes:0
n:policy-nailed:0
n:policy-list-auto:0
s:network-host:myhomedomain.spdns.org
s:client-auto-mode:pull
s:client-iface:virtual
s:network-natt-mode:enable
s:network-frag-mode:enable
s:auth-method:mutual-psk-xauth
s:ident-client-type:keyid
s:ident-server-type:address
s:ident-client-data:vpn
b:auth-mutual-psk:YkRPd1g5R0d4cHZ1SAdpLw==
s:phase1-exchange:aggressive
s:phase1-cipher:auto
s:phase1-hash:auto
s:phase2-transform:auto
s:phase2-hmac:auto
s:ipcomp-transform:disabled
n:phase2-pfsgroup:-1
s:policy-level:shared
s:policy-list-include:192.168.1.0 / 255.255.255.0

Damit konnte ich erfolgreich eine VPN-Verbindung
PC mit Shrew VPN -> Tethering WLAN Mobiles Gerät -> Fritzbox herstellen und auch Daten übertragen!
Es wird von der Fritzbox für das entfernte Gerät die IP .201 vergeben, was soweit korrekt zu sein scheint.

Aus dem gewünschten Netzwerk mit PC + LAN kommt mit dieser Konfig aber keine Verbindung zustande.

Alle Versuche, die sich auf die importierte Konfigurationsdatei des "Fritz Fernzugang" beziehen haben mich bisher überhaupt nicht weiter gebracht, deshalb habe ich diesen Weg erstmal nicht weiter verfolgt.
Der Vollständigkeit halber trotzdem hier

Clientseite (vpnuser)
Code: 
version {
        revision = "$Revision: 1.30 $";
        creatversion = "1.1";
}


pwcheck {
}


datapipecfg {
        security = dpsec_quiet;
        icmp {
                ignore_echo_requests = no;
                destunreach_rate {
                        burstfactor = 6;
                        timeout = 1;
                }
                timeexceeded_rate {
                        burstfactor = 6;
                        timeout = 1;
                }
                echoreply_rate {
                        burstfactor = 6;
                        timeout = 1;
                }
        }
        masqtimeouts {
                tcp = 15m;
                tcp_fin = 2m;
                tcp_rst = 3s;
                udp = 5m;
                icmp = 30s;
                got_icmp_error = 15s;
                any = 5m;
                tcp_connect = 6m;
                tcp_listen = 2m;
        }
        ipfwlow {
                input {
                }
                output {
                }
        }
        ipfwhigh {
                input {
                }
                output {
                }
        }
        NAT_T_keepalive_interval = 20;
}


targets {
        policies {
                name = "mydomain.spdns.org";
                connect_on_channelup = no;
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                virtualip = 192.168.1.201;
                remoteip = 0.0.0.0;
                remotehostname = "mydomain.spdns.org";
                localid {
                        user_fqdn = "[email protected]";
                }
                mode = mode_aggressive;
                phase1ss = "all/all/all";
                keytype = keytype_pre_shared;
                key = "47119ndb9eedb40778af5G>5cNa4fdac89";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipaddr = 192.168.1.201;
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.1.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.1.0 255.255.255.0";
                wakeupremote = no;
        }
}


policybindings {
}


// EOF

und Serverseite

Code: 
vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_user;
                name = "[email protected]";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.1.201;
                remoteid {
                        user_fqdn = "[email protected]";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "47119ndb9eedb40778af5G>5cNa4fdac89";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.1.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.1.201;
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = 
                             "permit ip 192.168.1.0 255.255.255.0 192.168.1.201 255.255.255.255";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

Außerdem:
Die Box hat regelmäßig, d.h. alle Updates erhalten so wie sie von AVM veröffentlicht wurden.

Die früher funktionierende Verbindung mit Fritz Fernzugang war so konfiguriert, dass der entfernte PC die ".10" als IP Adresse erhalten hat (DHCP zwischen 100 und 199).
 
Zuletzt bearbeitet:
Füge mal auf der Serverbox in der accesslist any ein

Code: 
"permit ip [COLOR=#ff0000]any[/COLOR] 192.168.201.0 255.255.255.0";

LG
 
Meinst du so?
Code: 
accesslist = 
                 "permit ip any 192.168.1.0 255.255.255.0 192.168.1.201 255.255.255.255";

...das bringt leider keine Änderung.

Müssten die beiden ursprünglichen Einträge nicht ohnehin schon bedeuten, dass jede IP aus 192.168.1.0
und speziell noch 192.168.1.201 erlaubt ist?
Ich bin verwirrt...
 
Zuletzt bearbeitet:
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 481 (Mitglieder: 12, Gäste: 469)

Neueste Beiträge

Statistik des Forums

Themen
244,840
Beiträge
2,219,268
Mitglieder
371,543
Neuestes Mitglied
Brainbanger
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück